Проверка токенов Firebase PNV

Когда библиотека Firebase PNV успешно проверяет номер телефона устройства, она возвращает проверенный номер телефона и подписанный токен, содержащий его. Если вы используете проверенный номер телефона вне клиентского приложения, следует передавать токен вместо самого номера телефона, чтобы проверить его целостность при использовании. Для проверки токена можно использовать любую библиотеку для проверки JWT. Используйте библиотеку для проверки всего следующего:

  • В заголовке typ установлен формат JWT .

  • Токен подписывается с использованием одного из ключей, опубликованных в конечной точке Firebase PNV JWKS, с применением алгоритма ES256 :

    https://fpnv.googleapis.com/v1beta/jwks

  • В заявлении эмитента содержится номер вашего проекта Firebase, и оно имеет следующий формат:

    https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_NUMBER

    Номер вашего проекта Firebase можно найти на странице настроек проекта в консоли Firebase.

  • Утверждение аудитории представляет собой список, содержащий номер вашего проекта Firebase и идентификатор проекта, и имеет следующий формат:

    [
  https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_NUMBER,
  https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_ID,
]

  • Срок действия токена не истёк.

Пример

В качестве краткого примера, следующее приложение Express.js получает токен Firebase PNV из HTTP POST запроса и использует библиотеку проверки JWT для проверки подписи и утверждений токена:

Node.js 

import express from "express";
import { JwtVerifier } from "aws-jwt-verify";

// Find your Firebase project number in the Firebase console.
const FIREBASE_PROJECT_NUMBER = "123456789";

// The issuer and audience claims of the FPNV token are specific to your
// project.
const issuer = `https://fpnv.googleapis.com/projects/${FIREBASE_PROJECT_NUMBER}`;
const audience = `https://fpnv.googleapis.com/projects/${FIREBASE_PROJECT_NUMBER}`;

// The JWKS URL contains the current public signing keys for FPNV tokens.
const jwksUri = "https://fpnv.googleapis.com/v1beta/jwks";

// Configure a JWT verifier to check the following:
// - The token is signed by Google
// - The issuer and audience claims match your project
// - The token has not yet expired (default behavior)
const fpnvVerifier = JwtVerifier.create({ issuer, audience, jwksUri });

const app = express();

app.post('/verifiedPhoneNumber', async (req, res) => {
    if (!req.body) return res.sendStatus(400);
    // Get the token from the body of the request.
    const fpnvToken = req.body;
    try {
        // Attempt to verify the token using the verifier configured
        previously.
        const verifiedPayload = await fpnvVerifier.verify(fpnvToken);

        // If verification succeeds, the subject claim of the token contains the
        // verified phone number. You can use this value however it's needed by
        // your app.
        const verifiedPhoneNumber = verifiedPayload.sub;
        // (Do something with it...)

        return res.sendStatus(200);
    } catch {
        // If verification fails, reject the token.
        return res.sendStatus(400);
    }
});

app.listen(3000);